Сетевые угрозы. Какие бывает сетевые угрозы: разбираем по порядку

Посмотрело: 3393

Статья рассчитана на тех, кто начал думать о сетевой безопаности или продолжает это делать и укрепляет защиту веб-приложений от новых угроз - ведь для начала нужно понять, какие вообще могут быть угрозы, чтобы их предовратить.

Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа , и , или , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера ( , уязвимости средней степени риска содержат 90% систем).

Что такое сетевая угроза или сетевая уязвимость?

WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде , и на русском языке есть перевод предыдущей версии от InfoSecurity - , который будет использован за основу классификации и существенно дополнен.

Основные группы угроз безопасности сайтов

Недостаточная аутентификация при доступе к ресурсам

В эту группу угроз входят атаки на основе Подбора (), Злоупотребление функционалом () и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).

Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.

Недостаточная авторизация

Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора () сюда входит Угадывания доступа () и Фиксация сессии ().

Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.

Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (), Межсайтовые запросы (XSS, ), Злоупотребление перенаправлениями (), Подделка межсайтовых запросов (), Расщепление HTTP-ответа ( , Контрабанда HTTP-ответа (), а также Обход маршрутизациии (), Расщепление HTTP-запроса () и Контрабанда HTTP-запроса ().

Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.

Выполнение кода

Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (), Форматирование строки (), Целочисленное переполнение (), LDAP внедрение (), Mail внедрение (), Нулевой байт (), Выполнение команд ОС (), Исполнение внешнего файла (RFI, ), Внедрение SSI (), Внедрение SQL (), Внедрение XPath (), Внедрение XML (), Внедрение XQuery () и Внедрение XXE ().

Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.

Разглашение информации

Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев () и Обход директорий ()

Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.

Логические атаки

В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании () и более точечные атаки - Злоупотребление SOAP (), Переполнение XML-атрибутов и Расширение XML-сущностей ().

Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходиом проводить аудит веб-приложений на предмет уязвимости им.

DDoS-атаки

Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом. Другие методы () напрямую к DDoS атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.

Интернет похож на минное поле планетарного масштаба, на котором можно легко столкнуться с опасностями.

1. Вредоносные программы и в первую очередь трояны, обитаю¬щие на мошеннических сайтах. Они обычно маскируются под полезное ПО, и эти «привлекательные» программы загружает и устанавливает на свой ПК сам посетитель Сети.
2. Веб-сайты, использующие уязвимость браузера для загрузки вредоносных программ. Причем страницы с опасным кодом могут размещаться и на вполне благопристойных сайтах, подвергшихся атаке со стороны злоумышленников.
3. Фишинговые сайты, имитирующие интерфейс популярных сайтов (от почтовых сервисов и социальных сетей до платежных систем) с целью получения учетных данных посетителя.
4. Спам-рассылки, которые получают пользователи практически всех существующих средств коммуникации: электронной
почты, службы мгновенных сообщений, социальных сетей и т.д. Такие сообщения могут содержать и сугубо рекламную информацию, и ссылки на фишинговые или распространяющие вредоносное программное обеспечение сайты
5. Перехват данных, передаваемых в не зашифрованном виде. При этом конфиденциальная информация может попасть в руки злоумышленников

На самом деле всех неприятностей, связанных с выходом в Сеть, можно избежать, соблюдая элементарные правила безопасности

Защитите физический доступ к компьютерам

Ваша система может быть защищена и заблокирована новейшими средствами, но если злоумышленник получит к ней физический доступ, все ваши усилия будут сведены к нулю. Удостоверьтесь, что компьютеры никогда не остаются без присмотра.

Не используйте административные учетные записи для ежедневной работы

В эпоху Windows NT, до появления клиента Подключение к удаленному рабочему столу (Remote Desktop Connection) и команды runas, администраторы зачастую помещали собственные личные учетные записи в группу Администраторы домена (Domain Admins). В настоящее время это делать не рекомендуется; лучше создавать дополнительные административные учетные записи Active Directory (например, для себя я мог бы создать личную учетную запись rallen и административную учетную запись rallen.adm). Для запуска программ, требующих административных привилегий, используйте службу подключения к удаленному рабочему столу или команду runas. Это снизит шанс (хотя и не сильно) случайного повреждения системы.

Использование обычной учетной записи пользователя также уменьшает возможные повреждения, которые может нанести системе вирус или червь.

Регулярно обновляйте вирусные определения и антишпионские приложения

Одна из причин столь высокой скорости распространения вирусов заключается в том, что определения вирусов обновляются слишком редко. В наши дни новые вирусы и черви появляются с ужасающей частотой, и чтобы суметь противостоять вирусной угрозе, необходимо использовать новейшие определения. То же относится и к шпионским программам, превратившимся сегодня в едва ли не большую проблему, чем вирусы.

Удостоверьтесь, что на компьютере установлены все критические пакеты исправлений

Даже если вирусные определения обновляются не так часто, как следовало бы, большинство вирусов и червей можно остановить еще на входе в систему, если устанавливать критические обновления безопасности сразу же, как только они становятся доступны. Конечно, когда повсеместно использовалась Windows NT и только что вышла Windows 2000, в этом не было суровой необходимости, но сегодня система, в которой новые обновления безопасности не устанавливаются в течение нескольких дней (а иногда минут) после выхода, совершенно открыта для новых вирусов и червей. Мы рекомендуем поместить адрес следующего веб-сайта в список избранного и периодически посещать его, чтобы не отстать от новейших технологий безопасности Microsoft:
http://windowsupdate.microsoft.com .

Включите аудит важных действий
В Windows предусмотрена возможность регистрации определенных действий и деятельности системы; благодаря этому можно проследить по журналу событий необходимые действия, например модификацию определенных файлов, в случае если возникнет угроза безопасности.

Регулярно проверяйте журналы событий

В журналах событий можно найти множество важных сведений относительно безопасности системы, однако о них часто забывают. Помимо прочего, причиной этого является большое количество «мусора» в журналах, то есть сообщений о незначительных событиях. Разработайте процесс централизации и регулярного анализа журналов событий. Наличие механизма регулярного сканирования журналов особенно поможет вам при аудите важных действий, о которых говорится в предыдущем разделе.

Разработайте план действий на случай атаки

Большинство людей думают, что с ними никогда не произойдет ничего подобного, но жизнь показывает, что это далеко пе так. В действительности большинство пользователей пе обладают даже частью тех знаний о безопасности, которыми могут похвастаться «профессиональные» злоумышленники. Если определенный злоумышленник (или, что еще хуже, группа злоумышленников) положит глаз на вашу организацию, вам понадобится проявить всю свою ловкость, смекалку и знания, чтобы предотвратить проникновение в систему. Атакам подвергались даже крупнейшие компании в мире. Мораль такова: каждый должен быть готов к тому, что целью очередной атаки может стать его система. Что же делать?
Вот несколько полезных ссылок, которые помогут вам разработать план реагирования на события.

Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.

Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.

Функция “Безопасность домашней сети”

Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.

“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты

Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.

Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.

Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.

Производители роутеров зачастую не слишком заботятся о качестве кода, поэтому и уязвимости нередки. Сегодня роутеры - приоритетная цель сетевых атак, позволяющая украсть деньги и данные в обход локальных систем защиты. Как самому проверить качество прошивки и адекватность настроек? В этом помогут бесплатные утилиты, сервисы онлайн-проверки и эта статья.

Роутеры потребительского уровня всегда критиковали за их ненадежность, но высокая цена еще не гарантирует высокую безопасность. В декабре прошлого года специалисты компании Check Point обнаружили свыше 12 миллионов роутеров (в том числе топовых моделей) и DSL-модемов, которые можно взломать из-за уязвимости в механизме получения автоматических настроек. Он широко применяется для быстрой настройки сетевого оборудования на стороне клиента (CPE - customer premises equipment). Последние десять лет провайдеры используют для этого протокол управления абонентским оборудованием CWMP (CPE WAN Management Protocol). Спецификация TR-069 предусматривает возможность отправлять с его помощью настройки и подключать сервисы через сервер автоконфигурации (ACS - Auto Configuration Server). Сотрудники Check Point установили, что во многих роутерах есть ошибка обработки CWMP-запросов, а провайдеры еще усложняют ситуацию: большинство из них никак не шифруют соединение между ACS и оборудованием клиента и не ограничивают доступ по IP- или MAC-адресам. Вместе это создает условия для легкой атаки по типу man-in-the-middle - «человек посередине».

Через уязвимую реализацию CWMP злоумышленник может делать практически что угодно: задавать и считывать параметры конфигурации, сбрасывать установки на значения по умолчанию и удаленно перезагружать устройство. Самый распространенный тип атаки заключается в подмене адресов DNS в настройках роутера на подконтрольные взломщику серверы. Они фильтруют веб-запросы и перенаправляют на поддельные страницы те из них, которые содержат обращение к банковским сервисам. Фейковые страницы создавались для всех популярных платежных систем: PayPal, Visa, MasterCard, QIWI и других.

Особенность такой атаки состоит в том, что браузер работает в чистой ОС и отправляет запрос на корректно введенный адрес реальной платежной системы. Проверка сетевых настроек компьютера и поиск вирусов на нем не выявляют никаких проблем. Более того, эффект сохраняется, если подключиться к платежной системе через взломанный роутер из другого браузера и даже с другого устройства в домашней сети.

Поскольку большинство людей редко проверяют настройки роутера (или вовсе доверяют этот процесс техникам провайдера), проблема долго остается незамеченной. Узнают о ней обычно методом исключения - уже после того, как деньги были украдены со счетов, а проверка компьютера ничего не дала.

Чтобы подключиться к роутеру по CWMP, злоумышленник использует одну из распространенных уязвимостей, характерных для сетевых устройств начального уровня. Например, в них содержится сторонний веб-сервер RomPager, написанный компанией Allegro Software. Много лет назад в нем обнаружили ошибку в обработке cookies, которую оперативно исправили, но проблема осталась до сих пор. Поскольку этот веб-сервер является частью прошивки, обновить его одним махом на всех устройствах невозможно. Каждый производитель должен был выпустить новый релиз для сотен уже продающихся моделей и убедить их владельцев поскорее скачать обновление. Как показала практика, никто из домашних пользователей этого не сделал. Поэтому счет уязвимых устройств идет на миллионы даже спустя десять лет после выхода исправлений. Более того, сами производители продолжают использовать в своих прошивках старую уязвимую версию RomPager по сей день.

Помимо маршрутизаторов, уязвимость затрагивает телефоны VoIP, сетевые камеры и другое оборудование, допускающее удаленную настройку через CWMP. Обычно для этого используется порт 7547. Проверить его состояние на роутере можно с помощью бесплатного сервиса Стива Гибсона Shields Up. Для этого набирай его URL (grc.com), а затем добавь /x/portprobe=7547.

На скриншоте показателен только положительный результат. Отрицательный еще не гарантирует, что уязвимости нет. Чтобы ее исключить, потребуется провести полноценный тест на проникновение - например, с использованием сканера Nexpose или фреймворка Metasploit . Разработчики часто сами не готовы сказать, какая версия RomPager используется в конкретном релизе их прошивки и есть ли она там вообще. Этого компонента точно нет только в альтернативных прошивках с открытыми исходниками (речь о них пойдет дальше).

Прописываем защищенный DNS

Хорошая идея - почаще проверять настройки роутера и сразу прописать руками альтернативные адреса серверов DNS. Вот некоторые из них, доступные бесплатно.

• Comodo Secure DNS: 8.26.56.26 и 8.20.247.20
• Norton ConnectSafe: 199.85.126.10, 199.85.127.10
• Google Public DNS: 8.8.8.8, 2001:4860:4860:8888 - для IPv6
• OpenDNS: 208.67.222.222, 208.67.220.220

Все они блокируют только зараженные и фишинговые сайты, не ограничивая доступ к ресурсам «для взрослых».

Unplug and pray

Есть и другие давно известные проблемы, которые не желают исправлять владельцы сетевых устройств или (реже) их производители. Два года назад эксперты DefenseCode обнаружили целый набор уязвимостей в роутерах и другом активном сетевом оборудовании девяти крупнейших фирм. Все они связаны с некорректной программной реализацией ключевых компонентов. В частности - стека UPnP в прошивках для чипов Broadcom или использующих старые версии открытой библиотеки libupnp. Вместе со специалистами Rapid7 и CERT сотрудники DefenseCode нашли около семи тысяч уязвимых моделей устройств. За полгода активного сканирования случайного диапазона адресов IPv4 было выявлено свыше 80 миллионов хостов, ответивших на стандартный запрос UPnP на WAN-порт. Каждый пятый из них поддерживал сервис SOAP (Simple Object Access Protocol), а 23 миллиона позволяли выполнить произвольный код без авторизации. В большинстве случаев атака на роутеры с такой дырой в UPnP выполняется через модифицированный SOAP-запрос, который приводит к ошибке обработки данных и попаданию оставшейся части кода в произвольную область оперативной памяти маршрутизатора, где он выполняется с правами суперпользователя. На домашних роутерах лучше UPnP вовсе отключить и убедиться в том, что запросы на порт 1900 блокируются. Поможет в этом тот же сервис Стива Гибсона. Протокол UPnP (Universal Plug and Play) включен по умолчанию на большинстве маршрутизаторов, сетевых принтеров, IP-камер, NAS и слишком умной бытовой технике. Он по умолчанию активирован в Windows, OS X и многих версиях Linux. Если есть возможность тонкой настройки его использования - это еще полбеды. Если доступны только варианты «включить» и «отключить», то лучше выбрать последний. Иногда производители намеренно внедряют программные закладки в сетевое оборудование. Скорее всего, это происходит по указке спецслужб, но в случае скандала в официальных ответах всегда упоминается «техническая необходимость» или «фирменный сервис по улучшению качества связи». Встроенные бэкдоры были обнаружены в некоторых роутерах Linksys и Netgear. Они открывали порт 32764 для приема удаленных команд. Поскольку этот номер не соответствует ни одному общеизвестному сервису, эту проблему легко обнаружить - например, с помощью внешнего сканера портов.

INFO

Еще один способ выполнить бесплатный аудит домашней сети - скачать и запустить антивирус Avast. Его новые версии содержат мастер проверки Network check, который определяет известные уязвимости и опасные сетевые настройки.

Умолчания - для ягнят

Самой распространенной проблемой с защитой роутеров остаются заводские настройки. Это не только общие для всей серии устройств внутренние IP-адреса, пароли и логин admin, но также включенные сервисы, повышающие удобство ценой безопасности. Помимо UPnP часто по умолчанию включен протокол удаленного управления Telnet и сервис WPS (Wi-Fi Protected Setup). В обработке запросов Telnet часто находят критические ошибки. Например, маршрутизаторы D-Link серии DIR-300 и DIR-600 позволяли удаленно получить шелл и выполнить любую команду через демон telnetd безо всякой авторизации. На роутерах Linksys E1500 и E2500 была возможна инжекция кода через обычный пинг. Параметр ping_size у них не проверялся, в результате чего методом GET бэкдор заливался на роутер одной строкой. В случае E1500 вообще не требовалось никаких дополнительных ухищрений при авторизации. Новый пароль можно было просто задать без ввода текущего. Аналогичная проблема была выявлена у VoIP-телефона Netgear SPH200D. Дополнительно при анализе прошивки выяснилось, что в ней активен скрытый аккаунт service с таким же паролем. При помощи Shodan найти уязвимый роутер можно за пару минут. Они до сих пор позволяют менять у себя любые настройки удаленно и без авторизации. Можно этим немедленно воспользоваться, а можно сделать доброе дело: найти в Skype этого горе-юзера (по IP или по имени) и отправить ему пару рекомендаций - например, сменить прошивку и прочесть эту статью.

Сверхскопление массивных дыр

Беда редко приходит одна: активация WPS автоматически приводит к включению UPnP. Вдобавок используемый в WPS стандартный пин-код или ключ предварительной аутентификации сводит на нет всю криптографическую защиту уровня WPA2-PSK. Из-за ошибок в прошивке WPS часто остается включен даже после его отключения через веб-интерфейс. Узнать об этом можно с помощью Wi-Fi-сканера - например, бесплатного приложения Wifi Analyzer для смартфонов с ОС Android. Если уязвимые сервисы используются самим администратором, то отказаться от них не получится. Хорошо, если роутер позволяет хоть как-то их обезопасить. Например, не принимать команды на порт WAN или задать конкретный IP-адрес для использования Telnet. Иногда возможности настроить или просто отключить опасный сервис в веб-интерфейсе просто нет и закрыть дыру стандартными средствами невозможно. Единственный выход в этом случае - искать новую или альтернативную прошивку с расширенным набором функций.

Альтернативные службы

Наиболее популярными открытыми прошивками стали DD-WRT, OpenWRT и ее форк Gargoyle. Установить их можно только на маршрутизаторы из списка поддерживаемых - то есть тех, для которых производитель чипсета раскрыл полные спецификации. Например, у Asus есть отдельная серия роутеров, изначально разработанная с прицелом на использование DD-WRT (bit.ly/1xfIUSf). Она уже насчитывает двенадцать моделей от начального до корпоративного уровня. Роутеры MikroTik работают под управлением RouterOS, не уступающей по гибкости настроек семейству *WRT. Это тоже полноценная сетевая ОС на ядре Linux, которая поддерживает абсолютно все сервисы и любые мыслимые конфигурации. Альтернативные прошивки сегодня можно установить на многие роутеры, но будь внимателен и проверяй полное название устройства. При одинаковом номере модели и внешнем виде у маршрутизаторов могут быть разные ревизии, за которыми могут скрываться совершенно разные аппаратные платформы.

Проверка защиты

Проверку на уязвимость OpenSSL можно выполнить бесплатной утилитой ScanNow фирмы Rapid7 (bit.ly/18g9TSf) или ее упрощенной онлайновой версией (bit.ly/1xhVhrM). В онлайне проверка проходит за несколько секунд. В отдельной программе можно задать диапазон IP-адресов, поэтому тест длится дольше. Кстати, регистрационные поля утилиты ScanNow никак не проверяются.

После проверки отобразится отчет и предложение попробовать более продвинутый сканер уязвимостей Nexpose, ориентированный на сети компаний. Он доступен для Windows, Linux и VMware. В зависимости от версии бесплатный испытательный период лимитируется сроком от 7 до 14 дней. Ограничения касаются количества IP-адресов и областей проверки.

К сожалению, установка альтернативной опенсорсной прошивки - это лишь способ повысить защиту, и полной безопасности он не даст. Все прошивки построены по модульному принципу и сочетают в себе ряд ключевых компонентов. Когда в них обнаруживается проблема, она затрагивает миллионы устройств. Например, уязвимость в открытой библиотеке OpenSSL коснулась и роутеров с *WRT. Ее криптографические функции использовались для шифрования сеансов удаленного доступа по SSH, организации VPN, управления локальным веб-сервером и других популярных задач. Производители начали выпускать обновления довольно быстро, но устранить проблему полностью до сих пор не удается.

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, - это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Вирусы - программы, которые могут добавлять вредоносный код в программы, установленные на вашем компьютере. Этот процесс называется заражением.

Основная цель вируса - распространение. В процессе распространения вирусы могут удалить файлы и даже операционную систему, испортить структуру размещения данных, блокировать работу пользователей.

Черви

Черви - вредоносные программы, которые для распространения используют сетевые ресурсы. Название этого класса было дано исходя из способности червей «переползать» с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы.

Черви обладают очень высокой скоростью распространения. Они проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви также могут использовать данные адресной книги почтовых клиентов.

Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера за исключением оперативной памяти.

Скорость распространения червей выше, чем у вирусов.

Троянские программы

Троянские программы - программы, которые выполняют несанкционированные пользователем действия на поражаемых компьютерах. Например, уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и тому подобное.

Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина, то есть не заражает другие программы или данные. Троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом наносимый ими вред может во много раз превышать потери от традиционной вирусной атаки.

Программы-шпионы

Программы-шпионы - программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:

• Отслеживание действий пользователя на компьютере.
• Сбор информации о содержании жесткого диска. В этом случает речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере.
• Сбор информации о качестве связи, способе подключения, скорости модема и так далее.

Однако данные программы не ограничиваются только сбором информации, они представляют реальную угрозу безопасности. Как минимум две из известных программ - Gator и eZula - позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

Другим примером программ-шпионов являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Вы могли сталкиваться с подобными программами, если при запросе одного сайта открывался другой.

Фишинг

Фишинг - вид интернет-мошенничества, целью которого является получение доступа к логинам и паролям пользователей.

Для получения пользовательских данных злоумышленник создает точную копию сайта интернет-банка и составляет письмо, максимально похожее на настоящее письмо от выбранного банка. В письме злоумышленник под видом сотрудника банка просит пользователя подтвердить или изменить свои учетные данные и приводит ссылку на поддельный сайт интернет-банка. Цель такого письма - заставить пользователя нажать на приведенную ссылку и ввести свои данные.

Подробнее о фишинге смотрите в Энциклопедии «Лаборатории Касперского». Информацию по защите от спама и фишинга смотрите на «Лаборатории Касперского».

Руткиты

Руткиты - утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами.

Руткиты также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Шифровальщики

Шифровальщики - программы, которые, попадая на компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее - таким образом, что их нельзя открыть. То есть пользователь не сможет воспользоваться зашифрованными файлами. А за расшифровку создатели шифровальщиков требуют выкуп.

Программы-майнеры

Программы-майнеры - программы, которые без ведома пользователя подключают его устройство к процессу майнинга. По сути, устройство становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на счет владельца программы-майнера.

В большинстве случаев майнер попадает на компьютер при помощи специально созданной зловредной программы, так называемого дроппера, главная функция которого - скрытно ставить другое ПО. Такие программы обычно маскируются под пиратские версии лицензионных продуктов или под генераторы ключей активации, которые пользователи ищут, например, на файлообменниках и сознательно скачивают.

hoax

hoax - программы, показывающие ложную информацию пользователю. Основная цель таких программ - вынудить пользователя заплатить за навязанный программу или услугу. Они не причиняют компьютеру прямого вреда, но выводят сообщения о том, что такой вред уже причинен или будет причинен. Другими словами предупреждают пользователя об опасности, которой на самом деле не существует.

К hoax относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра, устаревших драйверах и тому подобное. Их цель - получить от пользователя вознаграждение за обнаружение и исправление несуществующих ошибок.

Спам

Спам - массовая почтовая корреспонденция нежелательного характера. Например, спамом являются рассылки политического и агитационного характера и тому подобное.

• с предложениями обналичить большую сумму денег;
• вовлекающие в финансовые пирамиды;
• направленные на кражу паролей и номеров кредитных карт;
• с просьбой переслать знакомым, например, письма счастья.

Спам существенно повышает нагрузку на почтовые сервера и повышает риск потери информации, важной для пользователя.

Прочие опасные программы

Разнообразные программы, которые разработаны для создания других вредоносных программ, организации DoS-атак на удаленные сервера, взлома других компьютеров. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов и тому подобное.